Protect

Your

Digital

Identity


Eine Einführung zur Digitalen Selbstverteidigung

von Clemens Kommerell

in Zusammenarbeit mit Alexander Katzmann und Illustrationen von Timotheé Ingen-Housz

Edward Snowden

Arguing that you don’t care about the right to privacy because you have nothing to hide is no different than saying you don’t care about free speech because you have nothing to say.

Edward Snowden

Einleitung

Wer nicht gegen Überwachung kämpft, akzeptiert die Einschränkung seiner Freiheit. Diese Seite zeigt Dir, wie Du Dich dagegen wehren kannst. Sie ist ein Beitrag für Deine Digitale Selbstverteidigung. Als eine einführende Sammlung und Informationsquelle richtet sie sich insbesondere an alle, die sich bisher nicht mit den Themen Datenschutz und Überwachung auseinandergesetzt haben.

Hier bekommst Du keine komplizierten Codes oder unverständliche Maßnahmen vorgeschlagen. Es reichen wenige Programme und Einstellungen, die für Dich wenig Aufwand bedeuten. Diese kleinen Veränderungen merkst Du bei der Nutzung Deines Computers oder Smartphones kaum. Auch wenn es keine absolute Sicherheit gibt, machst Du es datenhungrigen Unternehmen oder Behörden wesentlich schwerer, Informationen über Dich zu sammeln.

Die hier vorgestellten Programme und Maßnahmen bieten eine gute Grundlage, um in die Digitale Selbstverteidigung einzusteigen. Allerdings gibt es im Internet eine Konstante: Veränderung. Schon morgen können Behörden und Unternehmen Strategien entwickelt haben, die Tools zu umgehen. Wer sich schützen will, muss sich kontinuierlich informieren.

Start To Protect Your Digital Identity!

Sie wissen, wo du
letzten Sommer im
Urlaub warst.
Sie wissen,
wer dabei war und
was ihr eingekauft habt.
Sie wissen auch,
wer dich seitdem
nicht mehr anruft.

Du hinterlässt Daten.
Du wirst überwacht.
Du kannst etwas
dagegen tun.

Du hast nichts zu verbergen?

Gerne wird Überwachung mit dem Argument hingenommen, man habe ja nichts zu verbergen. Bist Du Dir sicher? Tust Du nichts, was irgendjemanden da draußen interessieren könnte? Durch Dein Smartphone wissen Google, Facebook und Co, wann und mit wem Du schlafen gehst, wann Du morgens wach wirst, ob Du auf dem Weg zur Arbeit im Stau stehst und an welchem Ort Du Dein Geld verdienst. Und Du selbst erzählst Facebook, welches Essen Du magst, welche Musik Du am liebsten hörst und wo Du am liebsten Shoppen gehst. Und die Geheimdienste wissen, was Google und Facebook wissen. Jedes Klicken und jedes Wischen kann auf unserem Smartphone eine Kette an Daten auslösen, die sich direkt auf unser digitales und analoges Leben auswirken.

Für die Diskussion rund um das Thema Überwachung ist es irrelevant, ob Du etwas zu verbergen hast. Es geht vielmehr darum, dass die Gesellschaft widerstandslos eine Massenüberwachung zulässt, ohne einen Blick in die Zukunft zu werfen. Was jemand zu verbergen hat, ist schließlich abhängig vom Zeitgeist und der politischen Entwicklung. Was heute noch als normal gilt, kann morgen schon verdächtig und unmoralisch erscheinen. Noch nie war eine vollständige Überwachung so billig und technisch so einfach umsetzbar wie heute. Noch nie konnten Staaten so problemlos und mit einer so simplen Begründung wie der Terrorismusabwehr tief in Deine Privatsphäre vordringen. Spätestens seit den Enthüllungen Edward Snowdens im Jahr 2013 ist die Massenüberwachung durch staatliche Geheimdienste öffentlich belegt.

Überwachung funktioniert wie die Geschichte vom heißen Wasser und dem Frosch: Er sitzt ruhig im Topf und merkt nichts, bis es zu spät ist. Wir werden immer stärker überwacht und spüren es genauso wenig. Im Gewöhnungseffekt liegt die Gefahr für Deine Privatsphäre. Die permanente Überwachung führt dazu, dass aus der Unschuldsvermutung eine Schuldvermutung wird. Für den Staat bist Du potenziell verdächtig. Und deshalb lässt er seine Geheimdienste nach bestimmten Verhaltensmustern suchen. So interessiert er sich beispielsweise für Bewegungsprofile, die er vorher als verdächtig typisiert hat. Was verdächtig ist, bestimmen die Behörden selbst. Aufgrund solcher und unzähliger anderer Daten landeten mindestens 1,2 Millionen Menschen auf den Überwachungslisten der amerikanischen National Security Agency (NSA). Viele dieser Personen werden nicht einmal mehr verdächtigt, ihre Daten bleiben aber selbst dann gespeichert, wenn sie als nutzlos klassifiziert werden. Tatsächlich ist die Überwachung der eigenen Bevölkerung in den meisten demokratischen Ländern verboten. Umgehen lassen sich die Gesetze durch Kooperationen mit ausländischen Geheimdiensten. So hatte der BND die NSA Deutsche durchleuchten lassen. Seit dem NSA-Skandal ist klar: Es werden nicht die Fehler der Nachrichtendienste sanktioniert, sondern ihr Fehlverhalten wird mit einer Gesetzesinitiative legalisiert.

Neben der staatlichen Überwachung durch Geheimdienste sind auch Unternehmen an Deinen Daten interessiert. Noch immer sind viele Verbindungen im Internet unverschlüsselt und ein Mitlesen der übertragenen Informationen ist für Internetanbieter und Webseitenbetreiber ein Kinderspiel. Generell gilt: Für viele kostenlose Internetanwendungen bezahlen wir mit unseren Daten. Es ist wichtig zu verstehen, dass Du bei Google, Facebook und Co. nicht der Kunde, sondern das Produkt bist, dessen Daten weiterverkauft werden. Deine Daten sind der Rohstoff für Werbetreibende und Versicherungskonzerne. Selbst wenn die Daten nicht aktiv weiterverkauft werden, können sie von Drittanbietern unter Umständen genutzt werden. So wurde Anfang des Jahres 2018 bekannt, dass die Datenanalysefirma Cambridge Analytica die Daten von mehr als 87 Millionen Facebook-Nutzern unrechtmäßig abschöpfen konnte. Bis heute ergaben sich für Facebook keine rechtlichen Konsequenzen aus dieser Affäre, obwohl das Unternehmen seit 2015 über den Vorgang Bescheid wusste.

Du musst gar nicht im Internet surfen, um eine Datenspur zu hinterlassen. In unserem Alltag entsteht eine Vielzahl von Daten. Das elektronische U-Bahn Ticket erfasst Ein- und Ausstiegsorte, Einkaufsbonusprogramme analysieren Deine Kaufkraft, die Bankkarte zeichnet Deine Bezahlvorgänge auf und Dein Staubsauger-Roboter erstellt einen Grundriss Deiner Wohnung, den er im Internet verkauft. Besonders Smartphones und andere Smart-Devices bündeln durch ihre vielseitigen Anwendungsbereiche Deinen Datenstrom. Eines von vielen Beispielen sind Krankenkassen, die Deine Bewegungsdaten verwenden können, um Dir an Dein Fitnesslevel angepasste Versicherungstarife anzubieten. Bei einigen privaten Versicherungen ist dieses Modell bereits Praxis. Noch ist die Angabe dieser Daten freiwillig, doch langfristig, droht Datensparsamkeit zum Luxusgut zu werden. Dass dabei Persönlichkeitsrechte missachtet werden, wird selten beleuchtet. Noch enger wird es für Deine Privatsphäre durch Datenhändler und ihr Geschäftsmodell: Sie kaufen Deine Daten aus unterschiedlichen Quellen, führen sie zu umfassenden Profilen zusammen und bieten Dein Profil dann anderen Unternehmen zum Kauf an.

Neben der kommerziellen Verwendung Deiner Daten haben auch Behörden Zugriff auf die gespeicherten Informationen. Da US-amerikanische Unternehmen durch den “National Security Letter” zur Zusammenarbeit mit der NSA verpflichtet sind, wissen die Geheimdienste, was Du tust.

Alle wollen Deine Metadaten!

Die Daten, die staatliche Institutionen und Unternehmen speichern, sind überwiegend Metadaten. Befürworter der Überwachung sagen gerne, es handele sich ja “nur” um Metadaten. Doch genau diese geben einen detaillierten Einblick in Dein Leben. Also was genau sind Metadaten? Metadaten sind “Daten über Daten” und können als digitales Äquivalent eines Briefumschlags betrachtet werden. Anhand des Umschlags kennt man Empfänger und Absender, aber nicht den Inhalt des Briefs. So werden bei der Erfassung von Metadaten nicht die Inhalte Deines Telefongesprächs aufgezeichnet, dafür aber der Ort, die Uhrzeit, die Dauer und Eure Telefonnummern. Anhand dieser Daten lassen sich komplexe Bewegungs- und Handlungsmuster erkennen. Auch Freundeskreise und die berufliche Kommunikation lassen sich erfassen und voneinander unterscheiden. Weitere Metadaten sind zum Beispiel E-Mail Betreffzeilen, IP-Adressen sowie Empfänger und Sender von SMS und E-Mails.
Metadaten lassen sich zählen, kategorisieren und in Datensätzen zusammenfassen. Das macht es einfach, sie auszuwerten. Durch Metadaten lässt sich erkennen, wann Du im Urlaub bist, weil Du Dein Verhalten dann veränderst. Anhand Deiner veränderten Tagesabläufe lassen sich auch Schwangerschaften, Krankheiten und vieles mehr erkennen. Ein Teil der Metadaten ist notwendig, um Services erst zu ermöglichen, denn ohne Handynummer kannst Du keine SMS verschicken. Möglichst wenig Metadaten zu produzieren, ist gar nicht so leicht und Du kannst Metadaten weder verschlüsseln noch blockieren.

Es braucht also gesetzliche Regelungen, um eine missbräuchliche Verwendung zu verhindern. Stattdessen verpflichten die Gesetze in Deutschland die Anbieter von Telekommunikation und Internetzugängen sogar dazu, alle Daten ihrer Nutzer für eine bestimmte Zeit zu speichern. In Deutschland wurde diese Praxis mehrfach als verfassungswidrig erklärt und es wurden Gesetzesänderungen gefordert. Die aktuellen Regelungen sehen Speicherzeiten zwischen vier und zehn Wochen für Deine Metadaten vor.
Viele Apps wie Facebook, speichern die Daten ihrer Nutzer jedoch jahrelang. Sie werden unter anderem dazu verwendet, zukünftige Verhaltensweisen zu berechnen. Und: Dank Edward Snowden wissen wir, dass auch die Geheimdienste Metadaten illegal speichern.

Neben der kommerziellen Verwendung Deiner Daten haben auch Behörden Zugriff auf die gespeicherten Informationen. Da US-amerikanische Unternehmen durch den “National Security Letter” zur Zusammenarbeit mit der NSA verpflichtet sind, wissen die Geheimdienste, was Du tust.

Wer hat uns verraten?

Metadaten.

“hallo123” - Passwörter und Passsätze

Passwörter sind die Schlüssel zu Deinen persönlichen Daten im Internet. Du brauchst also gute Passwörter, um Dich zu schützen. Ein gutes Passwort soll lang und kompliziert sein, Sonderzeichen, Zahlen und große sowie kleine Buchstaben beinhalten. Je länger, komplexer und ungewöhnlicher Dein Passwort ist, desto länger braucht ein Angreifer, um es zu ermitteln. Bei einem Passwort mit elf Stellen in ungewohnter Kombination benötigt ein Computer ungefähr 700 Jahre, um den Passwortschutz zu durchbrechen. Bei dem beliebtesten Passwort der Internetnutzer im deutschsprachigen Raum “123456” braucht ein Rechner jedoch nur 0.00047 Sekunden.
Bei einem Angriff werden zunächst die bekanntesten Passwörter in verschiedenen Sprachen getestet. Zudem sollten keine persönlichen Daten wie Name oder Geburtstag im Passwort enthalten sein.
Xt87kop+?,H7!“l?a6k wäre also ein gutes Passwort. Da Du aber für jeden Zugang ein anderes komplexes Passwort verwenden solltest, wäre es ganz schön kompliziert, sich das alles zu merken.

Es gibt zwei einfache Lösungen für dieses Problem: Eine Möglichkeit sind Programme zum Managen und Erstellen von Passwörtern. Die andere Option ist, anstelle von Passwörtern Passsätze zu verwenden. Diese sollten auch Sonderzeichen und Zahlen beinhalten. Ein Passsatz lässt sich einfacher merken, als eine wirre Kombination einzelner Zeichen. Ab und an solltest Du Deine Passsätze auch wechseln. Und damit Du das nicht vergisst, wurde der “Change Your Password Day” ausgerufen. Er ist immer am 1. Februar.

Top 10 Passwörter 2017

1. 123456
2. 123456789
3. 1234
4. 12345
5. 12345678
6. hallo
7. passwort
8. 1234567
9. 111111
10. hallo123

Diceware

Diceware bezeichnet eine Methode, mit der Du auf spielerische Art und Weise ungewöhnliche und wirkungsvolle Passsätze erstellen kannst. Dafür brauchst Du einen Würfel und eine Diceware Wort- und Zeichenliste, die Du leicht im Internet findest. Jedes Wort oder Zeichen auf der Liste entspricht einer fünfstelligen Kombination der Ziffern 1 bis 6. Fünf Mal würfeln ergibt also immer ein Wort. Zum Beispiel entspricht die gewürfelte Kombination 16661 dem Wort “Daten”.

Empfohlen wird, mindestens fünf Wörter und ein Zeichen beziehungsweise eine Zahl zu erwürfeln. Dadurch erhältst Du einen einzigartigen, zufällig generierten und trotzdem leicht zu merkenden Passsatz wie beispielsweise “sechs olive kosmos moskau 1500 oz”. Es wird empfohlen, zwischen die einzelnen Wörter ein Leerzeichen zu setzen. Auf die Groß- und Kleinschreibung kannst Du verzichten. Dein Passsatz ist dann eine Möglichkeit aus etwa 277 Möglichkeiten, was es nahezu unmöglich macht, ihn zu erraten. Und auch für Computerangriffe ist er durch die große Zeichenanzahl und die Zufallsauswahl der Wörter kaum zu knacken.

Shortfacts - Diceware


Was ist Diceware?

Eine einfache Methode, um sichere Passsätze zu erstellen.

Hintergrundinformationen und Wortlisten:

www.diceware.com
www.eff.org/dice

Zeitaufwand je Passsatz:

5 Minuten

Passwortmanager

Ein Passwort-Manager ermöglicht es Dir, Benutzernamen, Anmeldeinformationen und komplexe Passwörter sowie Passsätze zu erstellen und zu speichern. Geschützt sind Deine Daten durch ein Masterpasswort. Dementsprechend sollte dieses möglichst komplex und sicher sein. Darüber hinaus bieten einige Passwort-Manager die Möglichkeit, die gespeicherten Kennwörter zwischen verschiedenen Geräten zu synchronisieren. Du solltest jedoch beachten, dass die Synchronisation mithilfe eines Cloud-Dienstes erfolgt, der von einem Drittanbieter betrieben werden kann. Dadurch gelangen Deine Daten ins Internet. Sicherer wäre es, die Passwortdaten nur lokal auf einem Gerät zu speichern. Der Nachteil eines Passwort-Managers liegt auf der Hand: Schadsoftware, die Dein Masterpasswort abgreift, erhält auch Zugriff auf alle anderen Passwörter, die Du gespeichert hast. Dennoch bieten Dir Passwort-Manager bei richtiger Anwendung eine komfortable Möglichkeit, Deine Passwörter zu verwalten. Ein guter Passwort-Manager ist das Open Source Projekt KeyPassXC. Das Programm bietet einen großen Funktionsumfang, wie das Erstellen komplizierter Passwörter oder die Prüfung Deiner Passwörter auf ihre Stärke. KeyPassXC ist für alle gängigen Computerbetriebssysteme verfügbar und kann durch eine Browserintegartion für Firefox oder Google Chrome, Anmeldefelder von Webseiten direkt im Browser ausfüllen. Nach dem Download des Programms musst Du eine Datenbank erstellen und diese lokal auf Deinem Computer speichern. Anschließend kannst Du Passwort-Einträge hinzufügen. Auch die Synchronisation Deiner Passwortdatenbank zwischen mehreren Computern ist möglich, erfordert aber die Ablage der Datenbankdatei in einer Cloud. Wenn Du diese Option nutzen möchtest, solltest Du auch eine eigene Cloud wie Nextcloud verwenden und nicht auf Anbieter wie Google oder Dropbox zurückgreifen. Mit Apps wie MiniKeePass kann die Datenbank sogar auf Mobilgeräte transferiert und dort geöffnet werden. Allerdings ist dieses Vorgehen kompliziert, da Du die Datenbank nach jeder Änderung auf dem Computer erneut auf das Smartphone übertragen musst, damit diese aktuell bleibt. Eine komfortablere Lösung bieten die Programme LastPass und 1Password. Neben den bereits bei KeyPassXC genannten Funktionen, können sie Deine Daten mühelos zwischen allen Deinen Geräten synchronisieren. 1Password kann Dich zudem daran erinnern, besonders alte oder doppelt verwendete Passwörter zu aktualisieren. Außerdem gestaltet sich die Benutzung einfacher als die von KeyPassXC. Beide Programme sind für alle gängigen Betriebssysteme verfügbar und die Konfiguration erfolgt mühelos nach dem Download der jeweiligen App für Computer oder Smartphone. Allerdings handelt es sich bei LastPass und 1Password um kommerzielle Angebote, denen Du Deine Daten anvertraust. Während LastPass auch in einer kostenfreien Version mit geringfügig reduziertem Funktionsumfang zur Verfügung steht, musst Du 1Password einmalig oder monatlich bezahlen.

Shortfacts - Passwortmanager


Was sind Passwortmanager?

Programme zum Passwörter erstellen und verwalten.

Wo bekomme ich KeyPassXC?

www.keepassxc.org/

Lizenz: Open Source

Zeitaufwand:

20 Minuten für die Einrichtung

Alternativen:

www.lastpass.com
www.1password.com

Kommuniziere verschlüsselt!

Im Internet wird eine Menge Deiner Daten unverschlüsselt übertragen. Das ist so, als würdest Du sie in einem durchsichtigen Briefumschlag versenden. Die Internetanbieter und Serverbetreiber, die als elektronische Briefträger an der Kommunikation beteiligt sind, können genauso einfach mitlesen, wie andere Hacker und Schnüffler. Doch Du kannst etwas dagegen unternehmen. Ein Programm zur Verschlüsselung Deiner E-Mails ist in wenigen Minuten eingerichtet, für verschlüsselte Verbindungen zu Webseiten braucht es nur ein Add-on im Browser und für Chats und Internettelefonie bieten sich ebenfalls verschiedene Programme an. Während Unternehmen und Geheimdienste, bei unverschlüsselten Nachrichten den Inhalt sehen, wissen sie bei verschlüsselten Nachrichten nur noch, dass Du etwas versendet hast, aber nicht mehr was. Nur der Empfänger kann mit dem richtigen Schlüssel die Nachricht öffnen.

Obwohl es technisch einfach ist, werden Nachrichten noch immer viel zu selten verschlüsselt. Ein Problem ist sicher, dass viele Menschen denken, Verschlüsselung sei eine komplizierte und aufwändige Sache. Oder sie denken, dass sie selbst nichts zu verbergen hätten und dass Menschen die ihre Nachrichten verschlüsseln verdächtig sind. Der Einsatz von Verschlüsselungen dient aber dem Schutz Deiner Privatsphäre.
Achte bei der Auswahl Deiner Verschlüsselungssoftware darauf, dass es sich um eine Ende-zu-Ende-Verschlüsselung handelt. Nutze Open-Source-Software, denn nur diese kann unabhängig auf Hintertüren geprüft werden.

Überlege Dir, neben Deiner Kommunikation auch Datenträger wie Festplatten oder USB-Sticks zu verschlüsseln. Sowohl Apple als auch Windows bieten Optionen für Verschlüsselungen von Festplatten. Aber auch hier gibt es Open-Source-Alternativen, wie beispielsweise VeraCrypt.

Eine E-mail ohne
Verschlüsselung
ist wie ein Brief in
einem durchsichtigen
BriefUmschlag.

Signal

Ein großer Teil der alltäglichen Kommunikation findet in verschiedenen Instant Messengern statt. Die mit Abstand meisten Nutzer verzeichnet dabei die Facebook-Tochter WhatsApp. Und obwohl WhatsApp heute Deine Nachrichten verschlüsselt, gibt es zwei zentrale Argumente, die für andere Messenger sprechen.
Zum einen kannst Du die Weitergabe und Nutzung Deiner persönlichen Metadaten an Facebook nicht verhindern und zum anderen ist WhatsApp keine Open-Source-Software.

Als Alternative lässt sich Signal nutzen. Die Messenger App ist ein Open-Source-Projekt und gilt bei ähnlichem Funktionsumfang als sehr zuverlässig. Einer der großen Fürsprecher von Signal ist Edward Snowden. Auch Apples iMessage oder der Schweizer Messenger Threema bieten Ende-zu-Ende-Verschlüsselungen an. Beide Dienste sind jedoch kommerzielle Software und der Quellcode nicht überprüfbar.

Shortfacts - Signal


Was ist Signal?

Ein Instant Messenger für verschlüsselte Chats und Telefonate.

Wo bekomme ich Signal?

www.signal.org

Plattformen: alle

Lizenz: Open Source

Zeitaufwand

5 Minuten für die Einrichtung

E-Mail Verschlüsselungen

Das Verschlüsseln von E-Mails sollte ein zentraler Bestandteil Deiner Digitalen Selbstverteidigung sein. Als das wichtigste Verfahren für Verschlüsselungen gilt OpenPGP mit GPG. Open steht in diesem Fall für Open Source, PGP für “Pretty Good Privacy”. GPG wiederum steht für “GNU Privacy Guard” und ist ein Programm, das den OpenPGP-Standard verwendet.

Das Ganze klingt komplizierter als es ist. Stell Dir vor, Du bekommst ein Schlüsselpaar, um Deine E-Mails zu versenden. Einen öffentlichen Schlüssel, von dem Du eine Kopie mit jedem teilst, der Dir schreiben will. Er liegt in einer kleinen Datei vor, die Du auf Deinem Blog oder in Deinem E-Mail-Anhang teilen kannst.
Der zweite Schlüssel ist Dein privater Schlüssel. Wenn Dir jemand eine verschlüsselte Nachricht senden will, braucht er Deinen öffentlichen Schlüssel, um die Mail zu chiffrieren und Du nutzt Deinen privaten Schlüssel, um die Nachricht zu dechiffrieren. Der Vorteil dieser asymmetrischen Methode ist, dass nur die öffentlichen Schlüssel ausgetauscht werden und die privaten Schlüssel geschützt bleiben. Für Fremde ist es unmöglich, Eure Nachrichten zu lesen.

Um eine Verschlüsselung erstmalig einzurichten, benötigst Du ungefähr 30 Minuten. Nachdem Du die Software einmal eingerichtet hast, funktioniert sie aber fast von alleine. Um zu beginnen, besuchst Du als Mac-Nutzer die Seite von GPG Tools oder als Windows-Nutzer die Seite von Gpg4win. Dort lädst Du Dir die entsprechende Software herunter und befolgst die Anweisungen des Installationsprogramms. Beide Programme bieten einfache Erklärungen und Einsteigertipps auf ihren Webseiten an. Die folgenden Schritte beziehen sich auf die Mac-Variante, GPG Tools. Die Schritte für die Windows-Software sind jedoch sehr ähnlich. Zunächst musst Du Dir ein eigenes Schlüsselpaar erstellen. Du wählst also “Neu” aus und füllst das Feld mit Name, E-Mail und einer neuen Passphrase aus. Ist Deine Passphrase zu einfach, weist Dich das Programm darauf hin. Merke Dir Deine Passphrase gut oder speichere sie mithilfe eines Passwortmanagers. Hast Du Deine Passphrase vergessen, kann Sie nicht zurückgesetzt werden und Du musst ein neues Schlüsselpaar erstellen. Nach Eingabe der Informationen wirst Du gebeten, die Maus zu bewegen, um Zufallswerte zu erzeugen. Diese werden benötigt, um Deinen Schlüssel zu bilden. Danach ist Dein Schlüsselpaar bereits erstellt.

Anschließend kannst Du mit dem Mailprogramm von Apple, einem öffentlichen Schlüssel und der entsprechenden E-Mail-Adresse verschlüsselte Nachrichten versenden. Die Option zum Verschlüsseln wird Dir in Deinem Mailprogramm angezeigt. Die Schlüssel Deiner Kontakte speicherst Du einfach in der GPG Keychain. Das ist das Programm, mit dem Du auch Deinen eigenen Schlüssel erstellt hast und Deinen öffentlichen Schlüssel exportieren und versenden kannst.
Wenn Du ein anderes E-Mail-Programm verwendest, benötigst Du eventuell noch ein kleines Zusatzprogramm (zum Beispiel Enigmail für Mozilla Thunderbird).

Shortfacts - PGP


Was ist OpenPGP?

Eine einfache Methode zum Verschlüsseln und Entschlüsseln von E-Mails.

Wo bekomme ich GPG?

www.gpgtools.org (MacOS)
www.gpg4win.de (Windows)

Lizenz: Open Source

Zeitaufwand:

30 Minuten für das Einrichten

Markus Beckedahl

Die gute Nachricht ist:
Wir sind nicht paranoid.

Die schlechte Nachricht ist:
Wir werden alle überwacht.
Jederzeit und überall.

Markus Beckedahl

6 Tools gegen Security Nightmares

Bekannte Browser wie Safari, Google Chrome oder der Internet Explorer sind Produkte großer IT-Konzerne. Eine Alternative stellt der Open-Source-Browser Firefox dar.

Unabhängig von der Wahl des Browsers, werden Deine Daten wie Bilder, Suchanfragen oder Passwörter häufig unverschlüsselt übertragen. Der Grund dafür ist das “Hypertext Transfer Protocol” kurz HTTP. Es ist die Sprache, mit der Dein Browser und der Server, auf dem die Webseite hinterlegt ist, miteinander sprechen.
So wie Du darauf achtest, dass niemand auf den Bildschirm schaut, während Du Dein Passwort eingibst, solltest Du auch darauf achten, dass niemand entlang der Leitung Deine Daten lesen kann.
Das geht ganz einfach durch die Verwendung von HTTPS, also dem “Hypertext Transfer Protocol Secure”, das viele Webseiten unterstützen. Am einfachsten verwendest Du HTTPS, indem Du Dir das Add-on HTTPS Everywhere installierst.

Um sicherer zu surfen, solltest Du einige weitere Einstellungen vornehmen und die Erweiterungen installieren, die auf den nächsten Seiten erklärt werden. Wenn Du wirklich anonym surfen möchtest, kannst Du den Tor Browser verwenden. Dieser ist allerdings etwas langsamer als gewöhnliche Browser.

Browsereinstellungen

Bestimmte Einstellungen solltest Du unabhängig vom verwendeten Browser vornehmen. Damit lassen sich einige der Datenlecks ganz einfach schließen. Zwei wichtige Einstellungen betreffen die Cookies.

Cookies sind kleine Dateien, die Webseiten im Browser abspeichern und die Informationen über Dich und Dein Surfverhalten beinhalten. Auf manchen Webseiten finden sich dazu noch Cookies, die von Drittanbietern hinterlegt werden. Besonders diese solltest Du blockieren. Zudem kannst Du einstellen, dass Cookies gelöscht werden, sobald Dein Browser geschlossen wird. Damit verhinderst Du, dass Dein Verhalten im Internet von bestimmten Webseiten verfolgt wird. Beide Optionen bieten alle gängigen Browser an und sind leicht im Menüpunkt “Einstellungen” zu finden.

Eine weitere Einstellung ist die Aktivierung der Option “Do Not Track”, die ebenfalls von allen Browsern unterstützt wird. Damit teilt Dein Browser der besuchten Webseite mit, dass Du nicht getracked werden möchtest. Allerdings handelt es sich dabei um einen freiwilligen Standard, an den sich die Webseiten nicht halten müssen.

Eine weitere Möglichkeit, weniger Informationen an Konzerne wie Google preiszugeben, ist die Verwendung alternativer Suchmaschinen. DuckDuckGo ist beispielsweise eine Suchmaschine, die Deine Privatsphäre respektiert. Wer auf die Vorzüge von Googles hoch entwickelten Suchalgorithmen nicht verzichten möchte, kann die Seite Startpage.com verwenden. Startpage stellt eine Art Schutzschild zwischen Deiner Suchanfrage und Google dar. Deine Anfrage wird über die Server von Startpage geleitet, sodass Google nicht erkennt, dass die Anfrage von Dir stammt.
Zuletzt solltest Du darauf achten, dass Du Deinen Browser in der neusten Version verwendest, denn viele Updates dienen dem Schließen von Sicherheitslücken.

uBlock origin

Bei uBlock Origin handelt es sich um einen Ad-Blocker. Das Programm ist Open Source und verhindert zuverlässig, dass Du mit Werbung belästigt wirst. Im Gegensatz zum am häufigsten verwendeten Ad-Blocker, AdBlock Plus, sind die Datenschutzbedingungen bei uBlock Origin besser. AdBlock Plus ermöglicht es Unternehmen zudem, sich von der Liste der geblockten Werbung freizukaufen.

Shortfacts - uBlock


Was ist uBlock?

Ein Ad-Blocker, der Dich vor Werbung beim Surfen schützt.

Wo bekomme ich uBlock Origin?

Auf der Add-on Seite Deines Browsers.

Lizenz: Open Source

Zeitaufwand:

3 Minuten für das Einrichten

HTTPS Everywhere

HTTPS Everywhere ist aus einer Zusammenarbeit des Tor-Projects und der Electronic Frontier Foundation (EFF) entstanden. Es prüft bei jeder Webseite, die Du besuchst, ob diese HTTPS unterstützt. Wenn das der Fall ist, sorgt das Programm dafür, dass Dein Browser eine sichere Verbindung zu dieser Webseite aufbaut. Dabei ist es egal, ob Du die URL selbst eintippst oder einen Link anklickst. Das Tool arbeitet unauffällig im Hintergrund und muss nach seiner Installation nicht mehr beachtet werden.

Shortfacts - HTTPS Everywhere


Was ist HTTPS Everywhere?

Ein Add-on, das dafür sorgt, dass Deine Daten verschlüsselt übertragen werden.

Wo bekomme ich HTTPS Everywhere?

www.eff.org

Lizenz: Open Source

Zeitaufwand:

3 Minuten für das Einrichten

Privacy Badger

Privacy Badger ist ein von der Electronic Frontier Foundation zur Verfügung gestelltes Add-on, das Tracking-Software blockiert, die Dich über mehrere Webseiten hinweg verfolgt. Damit Privacy Badger funktioniert, musst Du nichts weiter tun, als das Programm zu installieren. Angeboten wird das Add-on für alle gängigen Browser.

Shortfacts - Privacy Badger


Was ist Privacy Badger?

Ein Add-on, das dafür sorgt, dass Deine Daten verschlüsselt übertragen werden.

Wo bekomme ich Privacy Badger?

www.eff.org

Lizenz: Open Source

Zeitaufwand:

3 Minuten für das Einrichten

Testurteil: ungenügend

Einige Add-ons sind zwar beliebt, aber nicht unbedingt zu empfehlen.
Zwei Anwendungen die Du nicht verwenden solltest sind Ghostery und Web of Trust (WOT).
Ghostery ist eine Art Ad-Blocker, der aber viel Tracking erlaubt und mit Verkäufen von Nutzerdaten Schlagzeilen gemacht hat. Ähnliches gilt für WOT. Im Herbst 2016 deckte der Norddeutsche Rundfunk auf, dass Millionen Internetnutzer von ihren Add-ons ausgespäht und ihre Daten an Dritte verkauft wurden. Es ist also immer wichtig, dass Du Dich über ein Programm informierst, bevor Du es installierst.

Teste Deine Browser

Wenn Du testen möchtest, wie gut Dein Browser eingestellt ist, solltest Du Dir das Projekt Panopticlick von der EFF ansehen. Das Programm testet Deinen Browser anhand echter Trackingsoftware, die auch von Unternehmen eingesetzt wird. Nach etwa zwei Minuten erhälst Du das Ergebnis, gegen welche Software Dich Deine Browsereinstellungen schützen. Wenn es etwas zu verbessern gilt, bekommst Du Vorschläge zum Schließen der Sicherheitslücken.

TOR Browser

Selbst wenn Du alle genannten Tools installierst, kann Deine Identität beim Surfen immer noch anhand Deines Browser Fingerprints festgestellt werden. Wenn Du Dich unerkannt im Internet bewegen möchtest, solltest Du den Tor Browser nutzen.

Wenn Du mit ihm ins Internet gehst, verbindet sich Dein Computer nicht direkt mit dem Server einer Webseite. Stattdessen wird eine zufällige und verschlüsselte Verbindung zu einem Rechner des Tor-Netzwerkes aufgebaut. Von diesem Rechner aus wird dann eine zweite Verbindung aufgebaut und anschließend noch eine Dritte. Der dritte Computer greift anschließend auf den Server der Webadresse zu. Durch die mehrfache Umleitung der Verbindung bist Du zwar anonym, jedoch ein wenig langsamer unterwegs, als gewohnt. Der Tor Browser ist durch dieses Vorgehen der Eingang ins “Deep Web”, auch “Dark Web” genannt.
Eine schnellere, aber auch weniger sichere Alternative zum Tor Browser sind Virtuelle Private Netzwerke (VPN). Du kannst VPNs sowohl auf dem Mobiltelefon, als auch auf dem Computer nutzen. Dein Gerät kommuniziert verschlüsselt mit einem Server, der dann auf das Internet zugreift. Die Webseite, auf der Du surfst, sieht dann als Absender die IP-Adresse des VPN-Servers, den mehrere Leute benutzen. Die IP-Adresse ist allerdings nur ein Element, das genutzt wird, um Dich zu tracken. Daher sind VPNs vor allem geeignet, um aus einem ungesicherten Netzwerk über einen sicheren Server auf das Internet zuzugreifen.

Shortfacts - Tor Browser


Was ist der Tor Browser?

Ein Browser, um anonym im Internet zu surfen.

Wo bekomme ich den Tor Browser?

www.torproject.org

Lizenz: Open Source

Zeitaufwand:

3 Minuten für das Einrichten

 John Perry Barlow

Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind. On behalf of the future, I ask you of the past to leave us alone. You are not welcome among us. You have no sovereignty where we gather.

John Perry Barlow

Es sind Deine Daten!

Um die großen Akteure des Internets wie Google, Apple, Facebook, Amazon und Microsoft kommst Du kaum herum.
Teil des Geschäftsmodells dieser Konzerne ist der Verkauf der Daten ihrer Nutzer. Genau wie bei staatlicher Überwachung, werden Deine Daten von Dritten gelesen und ausgewertet. Auf dieser Basis erstellen die Unternehmen Nutzerprofile und versuchen möglichst maßgeschneiderte Werbung zu platzieren. Auch Strafverfolgungsbehörden können auf diese Daten Zugriff erlangen.

Doch nur weil Du Google oder Facebook nutzt, verlierst Du nicht Dein Recht auf Privatsphäre. Du kannst zumindest einstellen, wer welche Informationen von Dir sehen kann. Auch wenn es abgedroschen klingt und schon oft gesagt wurde: Achte darauf, welche Daten Du im Internet preisgibst.
Dein Smartphone ist durch die Bündelung vieler Funktionen wohl die größte Datensammelmaschine. Vermutlich begleitet Dich Dein Handy auf Schritt und Tritt und sammelt eine Menge Informationen über Dich. Es sendet Google und Facebook, auf welcher Party Du warst, mit wem Du dort ein Selfies geschossen hast, wie Du danach nach Hause gekommen bist, welche Musik Du dabei gehört hast und wie gut Dein Schlaf war.
Darüber hinaus reichen schon vier zufällig ausgewählte Apps Deines Smartphones aus, um es mit 95 Prozent Wahrscheinlichkeit zu identifizieren. Doch auch hier kannst Du einige Einstellungen zum Schutz Deiner Freiheit vornehmen.

Datenschutz bei Google und Facebook

In den Anzeigeneinstellungen Deines Google-Profils findest Du ein grobes Nutzerprofil mit Alter, Sprachen, Geschlecht und Interessen. Du kannst einstellen, ob Du personalisierte oder zufällige Werbung bekommen möchtest. Hier wird Transparenz suggeriert, allerdings werden durch Änderungen in den Einstellungen weder weniger Daten gespeichert, noch bekommst Du weniger Werbung.
Im Standortverlauf speichert Google alle Ortsdaten, die es von Deinen Geräten erhält. Es wird eine persönliche Karte mit Orten erstellt, die Du häufig besuchst. Diese Funktion lässt sich abstellen, sodass keine neuen Standortdaten mehr gesammelt werden. Im Bereich Aktivitätsanzeige speichert Google alle Deine Suchanfragen, welche Links Du angeklickt und welche Bilder oder Videos Du Dir angesehen hast. Du kannst Deinen Suchverlauf löschen und die Speicherung deaktivieren. Darauf zu vertrauen, dass Google nach dem Deaktivieren der verschiedenen Funktionen keine Daten mehr über Dich speichert wäre aber fahrlässig. Du kannst zudem auch die Daten herunterladen, die Google in verschiedenen Diensten über Dich gespeichert hat. Den entsprechenden Link findest Du im Bereich “Datenschutz und Nutzungserklärung”.

Bei der Nutzung von Facebook ist es wichtig, Deine Privatsphäre-Einstellungen zu prüfen. Hier können bereits einige Lücken geschlossen werden. Du kannst hier beispielsweise verhindern, dass Dein Facebook Profil standardmäßig von Suchmaschinen und damit von völlig fremden Personen gefunden und aufgerufen werden kann. Neben den Datenschutzeinstellungen ist es wichtig, dass Du Dich bei Facebook immer wieder ausloggst, da der Konzern sonst sehr einfach Dein komplettes Surfverhalten im Netz analysieren kann. Damit das kein großer Aufwand ist, kannst Du einen Passwortmanager verwenden.
Wie auch bei Google, kannst Du bei Facebook einen Teil der über Dich gespeicherten Daten abrufen. Dazu gehst Du auf “Einstellungen” und dort auf den Reiter “Deine Facebook Informationen”. Auf dieser Seite kannst Du über Dich gespeicherte Informationen einsehen und bei Bedarf herunterladen. Wenn Du den Anweisungen folgst, bekommst Du eine E-Mail mit einem Downloadlink Deiner Daten. Dort findest Du unter anderem alle Deine Gespräche, alle Schlagworte, zu denen Du Werbung bekommst, Deine Bilder und Posts, sowie die IP-Adressen von denen aus Du Dich eingeloggt hast. Es ist allerdings unklar, ob Du hier alle über Dich gespeicherten Daten von Facebook erhältst.

Generell bietet sich Dir durch die neue europäische Datenschutz-Grundverordnung (DS-GVO) nun die Möglichkeit, von Unternehmen zu erfahren, welche Daten Sie über Dich gespeichert haben. Denn entsprechend der DS-GVO hat jeder EU-Bürger das Recht auf Auskunft über die Daten, die ein Unternehmen über Dich besitzt und zu welchem Zweck diese Daten gespeichert und verarbeitet werden. Darüber hinaus hast Du das Recht zu erfahren, mit wem Deine Daten geteilt werden und woher sie stammen. Die Auskunft müssen Dir die Unternehmen kostenlos innerhalb eines Monats nach Deiner Anfrage erteilen.

Shortfacts - Daten bei Google


Einstellung für Werbeanzeigen:

Adsettings

Standortverlauf:

Standorte

Aktivitätsanzeige:

Aktivitäten

Daten von Google herunterladen:

Deine Daten bei Google

Shortfacts - Daten bei Facebook


Deinen Facebook-Datensatz herunterladen:

Klicke auf "Einstellungen“ ->
"Deine Facebook Informationen“ ->
"Lade eine Kopie Deiner ->
Facebook-Daten herunter“

Cloud Alternativen

Google Drive, Dropbox, Office 365 oder iCloud sind komfortable Cloud Lösungen, die aber als amerikanische Unternehmen verpflichtet sind, bei Verdacht Behörden Zugang zu Deinen Daten zu geben. Eine Möglichkeit dem zu entgehen, ist die Verwendung einer eigenen Cloud. Eigene Cloud Lösungen haben den Vorteil, dass Du die volle Kontrolle über Deine Daten behältst. Voraussetzung ist allerdings, dass Du einen Webspace bei einem vertrauenswürdigen Anbieter erwirbst, auf dem Du Deine Cloud installieren kannst.

Besonders zu empfehlen ist die Open Source Software Nextcloud. Die Installation ist sehr einfach und bei vielen Webspace Anbietern sogar schon vorkonfiguriert. Für Nextcloud steht die Sicherheit Deiner Daten an oberster Stelle. Sie besitzt alle Funktionen, die Du auch von anderen Cloudanbietern kennst. Du kannst also Dateien zwischen allen Deinen Geräten Synchronisieren oder via Client und Weboberfläche teilen. Durch den modularen Aufbau von Nextcloud kannst Du selbst entscheiden, welche Erweiterungen Du installieren möchtest. So hast Du die Möglichkeit, eine Alternative für Google Docs zu konfigurieren oder Deine Kalender und Kontakte über die Cloud zu verwalten und mit allen Deinen Geräten bequem zu synchronisieren.

Shortfacts - Nextcloud


Was ist Nextcloud?

Eine Cloud-Software, die auf einem eigenen Webspace oder Server installiert werden kann.

Wo bekomme ich Nextcloud?

www.nextcloud.com

Lizenz: Open Source

Zeitaufwand:

In etwa eine Stunde für das erstmalige Einrichten

Smartphone schützen

Im Jahr 2018 werden mehr Menschen das Internet mit dem Smartphone nutzen als mit herkömmlichen Computern. Auch für die Nutzung von Smartphones sollten deswegen ein paar grundlegende Sicherheitsregeln beachtet werden. Insbesondere der Menüpunkt “Ortungsdienste” (iOS) bietet einige Möglichkeiten, um den Zugriff auf Deine Daten einzuschränken. Dort kannst Du einstellen, welche Apps auf Deinen Standort zugreifen dürfen. Die Funktionen “ortsabhängige Apple Ads”, “Häufige Orte” sowie mehrere Optionen zur Produktverbesserung kannst Du ausschalten. Sie erfassen Daten, bringen Dir aber keinerlei Vorteile. Bei Android finden sich ähnliche Einstellungsmöglichkeiten im Menüpunkt “Standort”.

Wenn Du beim Surfen mit dem Smartphone oder bei der Nutzung von Apps keine personalisierte Werbung bekommen möchtest, kannst Du die Funktion “Kein Ad-Tracking” aktivieren. Diese ist sowohl für iOS als auch für Android verfügbar. ...Weniger Werbung bekommst Du trotzdem nicht angezeigt. Außerdem kannst Du auch auf dem Smartphone die Option “Do Not Track” für Deinen Browser einstellen und einen Ad-Blocker installieren. Leider funktionieren sie nicht so effektiv wie auf dem Computer.

Zudem solltest Du immer überprüfen, welche Zugriffsrechte bestimmte Apps haben möchten. Viele Apps wollen auf Daten zuzugreifen, die für die Nutzung nicht notwendig wären. Generell solltest Du Deine Apps und Dein Smartphone-Betriebssystem stets auf dem aktuellen Stand halten, da die Updates oftmals der Sicherheit dienen.

Slavoj Žižek

The sheer size of data is too large, and in spite of all intricate programs for detecting suspicious messages, computers that register billions of data are too stupid to interpret and evaluate them properly, ridiculous mistakes where innocent bystanders are listed as potential terrorists occur necessarily – and this makes state control of communications even more dangerous.

Slavoj Žižek

Heimliche Helden des Internets

Für die Digitale Selbstverteidigung ist es wichtig, dass Du Dich informierst und diejenigen unterstützt, die sich für ein offenes und freies Internet engagieren.

Eine sehr gute Informationsquelle ist das Blog netzpolitik.org. Die Bandbreite der Inhalte reicht vom tagesaktuellen netzpolitischen Geschehen, über Netzkultur bis zu Hintergrundinformationen und Expertenwissen zu Überwachung oder Datenschutz. Da sich netzpolitik.org ausschließlich durch die Spenden seiner Leser finanziert, kann die Redaktion unabhängigen Journalismus mit Haltung betreiben. Wenn Du ihre Arbeit unterstützen möchtest, geht das mit einer kleinen Spende. Weitere Anlaufpunkte in Deutschland sind die Digitale Gesellschaft und der Chaos Computer Club.

Die international bekannteste Organisation, die sich für ein freies Internet einsetzt, ist die Electronic Frontier Foundation (EFF). Seit 1990 setzt sie sich für Grundrechte im digitalen Zeitalter ein. Auf ihrer Webseite findest Du umfangreiche Informationen über alles, was mit dem Internet zu tun hat und einen sehr guten englischsprachigen Guide zur digitalen Selbstverteidigung. Darüber hinaus entwickelt die EFF selbst Programme wie den Privacy Badger, Panopticlick oder HTTPS Everywhere. Eine Mitgliedschaft bei der EFF kann man gegen eine kleine Spende abschließen.

Auch bei Wahlen solltest Du auch auf netzpolitische Themen achten. Die Anteile netzpolitischer Inhalte in den Wahlprogrammen und der Einsatz für digitale Freiheitsrechte unterscheiden sich zwischen den Parteien mitunter sehr stark. Für die einen ist das Internet auch 2018 noch Neuland, für die anderen ist das Internet ein Ort, an dem Freiheit und Gleichheit verteidigt werden müssen.